Antwoord schriftelijke vragen : Antwoord op vragen van het lid Six Dijkstra over het gebruik van Microsoft Exchange binnen de Rijksoverheid
Vragen van het lid Six Dijkstra (Nieuw Sociaal Contract) aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over het gebruik van Microsoft Exchange binnen de Rijksoverheid (ingezonden 7 februari 2025).
Antwoord van Staatssecretaris Szabó (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen
12 maart 2025). Zie ook Aanhangsel Handelingen, vergaderjaar 2024–2025, nr. 1466.
Vraag 1
Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers
op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier
ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1
2
Antwoord 1
Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server
op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende
impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server
2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates
zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription
Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in
mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding
op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent
dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze
datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de
veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties
tijdig migreren naar ondersteunde oplossingen
Vraag 2
Op hoeveel plekken binnen de Rijksoverheid wordt Microsoft Exchange nog gebruikt?
Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?
Antwoord 2
Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange.
Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten
beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen)
is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde
informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel
beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid
heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap
binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij
rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal
ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.
Vraag 3
Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende
rol de betreffende Ministers te vragen u hierover informatie te verstrekken?
Antwoord 3
Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden
tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik
van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB)
opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die
betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO
Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid.
Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management
in de volle breedte.
Vraag 4
Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog
uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien
dat deze systemen tijdig zijn vervangen?3
Antwoord 4
1. Het tijdig vervangen of upgraden van Microsoft Exchange-systemen binnen de Rijksoverheid
valt zoals aangegeven primair onder de verantwoordelijkheid van de individuele departementen
en organisaties, conform de federatieve opbouw van de Rijksoverheid. Vanuit mijn coördinerende
rol zal ik toezien op het transitieproces door het creëren van bewustzijn over de
end-of-support datum (14 oktober 2025) bij alle relevante organisaties binnen de Rijksoverheid;
2. Het stimuleren van kennisdeling tussen de verschillende overheidsorganisaties over
de te nemen stappen in het migratieproces;
3. Het regelmatig monitoren van de voortgang van migraties via de uitvraag zoals vermeld
in mijn antwoord op vraag 3;
4. Het ondersteunen van departementen met adviezen over aanpak en risicomanagement tijdens
deze transitie.
Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens
informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE)
minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel
Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal
de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven
dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met
uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk,
vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is
geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch
overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst
te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server
SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft
Unified en FastTrack support.
Vraag 5
Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar
de cloud betekenen? Kunt u dit antwoord toelichten?
Antwoord 5
Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent
geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een
nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange
Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises»
product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties
behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder
dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid
om vergelijkbare diensten af te nemen bij andere aanbieders.
Vraag 6
Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud
niet zonder risicoanalyses zullen plaatsvinden?
Antwoord 6
Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede
cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik
van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen
de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van
public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde
risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid
(BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik,
relevante risico's, technische en organisatorische maatregelen, en een beoordeling
van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
1. Er een gedegen exit-strategie wordt opgesteld (artikel 7), die de continuïteit van
bedrijfsprocessen waarborgt bij beëindiging van de dienstverlening;
2. Indien persoonsgegevens worden verwerkt, er voorafgaand een pre-scan Data Protection
Impact Assessment (DPIA) en waar nodig een formele DPIA wordt uitgevoerd (artikel 8);
3. De C2000-criteria worden beoordeeld om risico's ten aanzien van spionage, beïnvloeding
of sabotage door statelijke actoren te beoordelen (artikel 6);
4. Een verplichte rapportage aan CIO Rijk plaatsvindt over het materieel public cloudgebruik
en de risico's daarvan (artikel 13).
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen
moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en
de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van
CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten
een rol spelen in het toezicht op de naleving van deze kaders.
Ondertekenaars
-
Eerste ondertekenaar
F.Z. Szabó, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
Bijlagen
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.